22.8 C
Brasília
sábado, julho 18, 2026

Kaspersky identifica malware que mira investidores de criptomoedas

- Advertisement -spot_imgspot_img
- Advertisement -spot_imgspot_img

Apelidado de “OkoBot”, o malware inicia uma cadeia de infecção que começa com táticas de engenharia social, como o ClickFix, que engana os usuários para que executem comandos maliciosos, ou aplicativos do GitHub infectados por trojans que fornecem uma porta dos fundos para dispositivos infectados, escreveu a empresa de segurança cibernética em um relatório divulgado na quarta-feira .

O malware pode coletar arquivos de carteiras de criptomoedas, dados do navegador e credenciais do usuário, injetar extensões maliciosas e capturar janelas de aplicativos de carteira para roubar ativos. A Kaspersky afirmou ter identificado múltiplos ataques envolvendo essa família de malware desde janeiro de 2026.

A Kaspersky acrescentou que a estrutura do malware evoluiu a partir do “TookPS”, uma campanha de malware identificada pela primeira vez em 2025 que distribuía um Trojan downloader por meio de sites de software falsos, e que isso abre caminho para ataques imitadores.

Diferencia-se das campanhas anteriores por orquestrar todas as 20 cargas maliciosas através de um túnel SSH, o que permite o transporte remoto de dados de computadores infectados para máquinas remotas controladas pelos atacantes.

Cadeia de infecção original do OkoBot. Fonte: Kaspersky

Campanhas falsas de recrutamento no LinkedIn com malware

Em outra frente, uma nova campanha de malware busca infiltrar-se nos dispositivos de desenvolvedores Web3 por meio de falsas oportunidades de recrutamento no LinkedIn, de acordo com a SlowMist.

Os atacantes contatam desenvolvedores de blockchain pelo LinkedIn, fingindo ser recrutadores da Web3. Em seguida, enviam repositórios falsos do GitHub às vítimas, alegando que contêm o produto mínimo viável que precisa ser testado antes da entrevista, informou a empresa de segurança de blockchain em um relatório divulgado no sábado .

De acordo com a SlowMist, o fluxo de trabalho se assemelha muito a uma entrevista técnica legítima, na qual os desenvolvedores baixam o código, instalam as dependências e iniciam um projeto, o que dificulta a detecção do ataque.

O malware tem como objetivo distribuir um “trojan de acesso remoto” completo que infecta dispositivos, permitindo que os invasores roubem chaves de projeto, credenciais de nuvem ou dados de extensão de carteira desses desenvolvedores.

“Este ataque não é um caso isolado”, escreveu a SlowMist, acrescentando que incidentes recentes ilustram que “os atacantes estão cada vez mais explorando cenários como recrutamento, revisões de código e colaborações em projetos para enganar desenvolvedores e levá-los a executar ativamente repositórios maliciosos”.

O relatório foi divulgado um dia depois de a SlowMist ter alertado para uma campanha de malware separada, direcionada a usuários de macOS, com o objetivo de roubar suas credenciais e sequestrar suas sessões do Telegram para, em última instância, enganar investidores e levá-los a inserir suas frases de recuperação de carteira por meio de sites falsos.

[Fonte Original]

- Advertisement -spot_imgspot_img

Destaques

- Advertisement -spot_img

Últimas Notícias

- Advertisement -spot_img